Уязвимость в Agora SDK позволяла шпионить за приватными видеозвонками

Чт 18 Февраль 2021 08:22

Специалисты подразделения McAfee Advanced Threat Research (ATR) сообщили об опасной уязвимости в популярном наборе средств разработки (SDK), используемом в ряде приложений для видеозвонков, предоставлявшей возможность скрыто наблюдать за приватными видео- и аудиозвонками.

Речь идет о SDK производства американской компании Agora.io, используемом многочисленными приложениями, в том числе eHarmony, Plenty of Fish, MeetMe, Skout Talkspace и Practo. Обнаруженная в Agora SDK уязвимость (CVE-2020-25605) связана с ненадежным шифрованием и могла быть проэксплуатирована злоумышленниками для осуществления атак «человек посередине» и перехвата коммуникаций между участниками диалога.

Как пояснили эксперты, реализация Agora SDK не разрешала приложениям безопасно сконфигурировать настройки шифрования аудио и видео. В частности, функция, отвечающая за подключение конечного пользователя к звонку, передавала параметры (такие как App ID и токены аутентификации) в незашифрованном виде, что позволяло атакующему перехватить трафик, собрать информацию и запустить свое приложение Agora для скрытного подключения к звонкам.

Специалисты сообщили Agora.io о найденной уязвимости в апреле 2020 года, проблема была исправлена восемь месяцев спустя - в декабре 2020 года с выпуском версии 3.2.1. На данный момент нет свидетельств, что CVE-2020-25605 эксплуатировалась в реальных атаках, однако разработчикам, использующим SDK от Agora, настоятельно рекомендуется обновиться до исправленной версии продукта.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 127 дней 14 часов 3 минуты 37 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.